Bagong Kampanya ng Cryptojacking
Natukoy ng cybersecurity firm na Darktrace ang isang bagong kampanya ng cryptojacking na dinisenyo upang malampasan ang Windows Defender at mag-deploy ng software para sa pagmimina ng cryptocurrency. Ang kampanya, na unang natukoy noong huli ng Hulyo, ay kinabibilangan ng isang multi-stage infection chain na tahimik na kumukuha ng processing power ng isang computer upang magmina ng cryptocurrency.
Target ng Kampanya
Ipinaliwanag ng mga mananaliksik ng Darktrace na sina Keanna Grelicha at Tara Gould sa isang ulat na ibinahagi sa crypto.news na ang kampanya ay partikular na nagta-target sa mga Windows-based na sistema sa pamamagitan ng pagsasamantala sa PowerShell, ang built-in na command-line shell at scripting language ng Microsoft. Sa pamamagitan ng mga mapanlinlang na script, nakakakuha ang mga masamang aktor ng pribilehiyadong access sa host system.
Paano Ito Gumagana
Ang mga script na ito ay dinisenyo upang tumakbo nang direkta sa system memory (RAM), kaya’t ang mga tradisyunal na antivirus tools na umaasa sa pag-scan ng mga file sa hard drives ay hindi makadetect ng mapanlinlang na proseso. Pagkatapos, ginagamit ng mga attacker ang AutoIt programming language, isang Windows tool na karaniwang ginagamit ng mga IT professionals upang i-automate ang mga gawain, upang mag-inject ng mapanlinlang na loader sa isang lehitimong proseso ng Windows.
Ang loader na ito ay nagda-download at nag-e-execute ng isang cryptocurrency mining program nang hindi nag-iiwan ng halatang bakas sa sistema. Bilang karagdagang linya ng depensa, ang loader ay naka-program upang magsagawa ng serye ng mga environment checks, tulad ng pag-scan para sa mga palatandaan ng isang sandbox environment at pag-inspeksyon sa host para sa mga naka-install na antivirus products. Ang pagpapatupad ay magpapatuloy lamang kung ang Windows Defender ang nag-iisang aktibong proteksyon.
Bukod dito, kung ang infected user account ay walang administrative privileges, ang programa ay sumusubok na lumusot sa User Account Control upang makakuha ng mataas na access. Kapag natugunan ang mga kondisyong ito, ang programa ay nagda-download at nag-e-execute ng NBMiner, isang kilalang crypto mining tool na gumagamit ng graphics processing unit ng computer upang magmina ng mga cryptocurrency tulad ng Ravencoin (RVN) at Monero (XMR).
Pagsugpo ng Darktrace
Sa pagkakataong ito, nagawa ng Darktrace na pigilan ang atake gamit ang kanilang Autonomous Response system sa pamamagitan ng “pagpigil sa device na gumawa ng outbound connections at pag-block ng mga tiyak na koneksyon sa mga kahina-hinalang endpoints.” Ayon sa mga mananaliksik,
“Habang ang cryptocurrency ay patuloy na lumalaki sa katanyagan, tulad ng nakikita sa patuloy na mataas na halaga ng global cryptocurrency market capitalization (halos USD 4 trillion sa oras ng pagsusulat), ang mga banta ay patuloy na titingin sa cryptomining bilang isang kumikitang negosyo.”
Hiwalay na Kampanya
Noong Hulyo, nag-flag ang Darktrace ng isang hiwalay na kampanya kung saan ang mga masamang aktor ay gumagamit ng kumplikadong social engineering tactics, tulad ng pagpapanggap sa mga tunay na kumpanya, upang lokohin ang mga gumagamit na mag-download ng binagong software na nag-de-deploy ng crypto-stealing malware. Hindi tulad ng nabanggit na cryptojacking scheme, ang pamamaraang ito ay nag-target sa parehong Windows at macOS systems at isinagawa ng mga hindi alam na biktima na naniniwala na sila ay nakikipag-ugnayan sa mga insider ng kumpanya.
